Nastavte Pure-FTPd s TLS na Debianu 9

Pure-FTPd je rychlý a lehký FTP server vytvořený s ohledem na bezpečnost. V tomto tutoriálu vám ukážu, jak nainstalovat a používat Pure FTP ve 4 snadných krocích. Tato příručka vysvětluje, jak nainstalovat Pure FTPd na Debian 9.

Krok jedna – Instalace

Pure-FTPd je ve stabilním úložišti Debianu, takže není potřeba do vašeho systému přidávat žádná další úložiště.

Spusťte následující příkaz s oprávněními root:

apt install -y pure-ftpd-common pure-ftpd 

Krok dva – Konfigurace

Existuje mnoho možností, které můžete použít ke změně chování aplikace. Tyto možnosti lze použít na démona Pure-FTPd při spuštění nebo je můžete nastavit jako trvalé vytvořením potřebných souborů v confadresáři.

Chceme:

• Vytvořte virtuální uživatele.
• Vytvářejte domovské adresáře pro uživatele automaticky.
• Omezit ( chroot) uživatele tak, aby měli přístup pouze k jejich vlastnímu domovskému adresáři.

Povolte databázi Pure-FTPd a deaktivujte ověřování PAM a Unix, abyste povolili virtuální uživatele:

ln -s /etc/pure-ftpd/conf/PureDB /etc/pure-ftpd/auth/50pure
echo no > /etc/pure-ftpd/conf/PAMAuthentication
echo no > /etc/pure-ftpd/conf/UnixAuthentication

Nastavte Pure-FTPd pro vytváření domovských adresářů pro uživatele při jejich prvním přihlášení:

echo "yes" > /etc/pure-ftpd/conf/CreateHomeDir

Chrootujte všechny.

echo "yes" > /etc/pure-ftpd/conf/ChrootEveryone

Máte-li zájem dozvědět se o dalších možnostech, navštivte oficiální stránku dokumentace .

Krok tři – Vytvořte uživatele

Pure-FTPd dokáže pracovat s virtuálními uživateli, což znamená, že jsou uchováváni v databázi Pure-FTPd a nesouvisí s uživateli systému Linux.

Aby Pure-FTPd mohl spravovat soubory s virtuálními uživateli, musíme vytvořit uživatele a skupinu Linuxu, do které budou přidruženi všichni virtuální uživatelé. Všichni virtuální uživatelé mohou používat stejného systémového uživatele a skupinu, pokud byli chrootováni.

Spusťte následující příkazy k vytvoření systémového uživatele a skupiny:

groupadd ftpusr
useradd -g ftpusr -d /dev/null -s /etc ftpusr

Poznámka : Nechceme, aby tento uživatel měl domovský adresář nebo možnost přihlášení.

Vytvořte náš kořenový adresář FTP:

mkdir /home/FTP

Vytvořte virtuálního uživatele v Pure-FTPd:

pure-pw useradd alex -u ftpusr -g ftpusr -d /home/FTP/alex 

Přidali jsme našeho prvního virtuálního uživatele ( alex) a přiřadili jej k systémovému uživateli/skupině ( ftpusr). Všechny soubory, se kterými zapíšete, alexbudou ftpusrv systému vlastněny .

Aktualizace databáze Pure-FTPd:

pure-pw mkdb

Zkontrolujte informace o uživateli:

pure-pw show alex

Login              : alex
Password           : <encrypted password>
UID                : 1000 (ftpusr)
GID                : 1000 (ftpusr)
Directory          : /home/FTP/alex/./
Full name          : 
Download bandwidth : 0 Kb (unlimited)
Upload   bandwidth : 0 Kb (unlimited)
Max files          : 0 (unlimited)
Max size           : 0 Mb (unlimited)
Ratio              : 0:0 (unlimited:unlimited)
Allowed local  IPs : 
Denied  local  IPs : 
Allowed client IPs : 
Denied  client IPs : 
Time restrictions  : 0000-0000 (unlimited)
Max sim sessions   : 0 (unlimited)

Abyste si usnadnili život, použijte k přidání FTP účtů následující skript:

echo -e  '#!/bin/bash\nread -p "Enter UserName: " usrname\npure-pw useradd $usrname -u ftpusr -g ftpusr -d /home/FTP/$usrname && pure-pw mkdb'  > /usr/sbin/ftp-createacc

chmod u+x /usr/sbin/ftp-createacc

Nyní je vytváření FTP účtů jednoduché:

ftp-createacc

Enter UserName: mike
Password: 
Enter it again:

Krok čtyři – podpora TLS

Nejprve musíme nainstalovat OpenSSL.

apt install -y openssl

Vynutit Pure-FTPd, aby používal TLS, nebo jej můžeme nastavit jako volitelné, což znamená, že jsou akceptována jak nezabezpečená, tak TLS připojení

# force TLS
echo 2 > /etc/pure-ftpd/conf/TLS

# insecure + TLS
echo 1 > /etc/pure-ftpd/conf/TLS

Vytvořte adresář pro uložení našich klíčů.

mkdir -p /etc/ssl/pure-ftpd

Vygenerujte klíč svazku (soukromý klíč a veřejný klíč).

openssl req -x509 -nodes -days 730 -newkey rsa:2048 -keyout /etc/ssl/private/pure-ftpd.pem -out /etc/ssl/private/pure-ftpd.pem

Restartujte pure-ftpddémona.

systemctl restart pure-ftpd

Pokud máte ve svém systému nainstalovaný firewall nebo je váš server za NAT, musíte definovat pasivní porty v Pure-FTPd a otevřít tyto porty ve vašem firewallu, jinak se zobrazí chyby, jako jsou tyto:

Server sent passive reply with unroutable address. Passive mode failed.

Failed to retrieve directory listing.

500 I won't open a connection to 192.168.1.4 (only to 10.10.10.10).

Nastavte pasivní porty v Pure-FTPd:

echo "40110 42210" > /etc/pure-ftpd/conf/PassivePortRange

Restartujte pure-ftpdpro použití změny.

systemctl restart pure-ftpd

Ve svém firewallu otevřete rozsah příchozích portů od 40110 do 42210 , protokol TCP.

FTP je ze své podstaty nejistý, ale je také rychlý a snadno nastavitelný. Pro bezpečnější řešení použijte místo toho SFTP.